Menaces passant par le réseau

Mode de fonctionnement

Les menaces passant par le réseau sont généralement de deux types :

  • Menaces passives sur les réseaux: activités comme le wiretapping (écoute en ligne) et l'idle scan (méthode de balayage des ports TCP), conçues pour intercepter le trafic passant par le réseau
  • Menaces actives sur les réseaux: activités telles que les attaques par déni de service (DoS, Denial of Service) et les injections SQL, où l'auteur tente d'exécuter des commandes pour perturber le fonctionnement normal du réseau.

Pour réussir leurs attaques, ceux qui les fomentent doivent généralement pirater l'infrastructure de l'entreprise afin d'exploiter les vulnérabilités de certains logiciels pour ensuite exécuter à distance des commandes sur les systèmes d'exploitation internes. Les attaques DoS et le détournement de communications partagées (par exemple, lorsque l'utilisateur se trouve sur un réseau WiFi public) sont des exceptions.

Les attaquants accèdent généralement aux systèmes d'exploitation internes par le biais de messages électroniques, qui commencent par compromettre un permier lot de machines, avant d'installer du code malveillant contrôllé par leur soin pour envahir le réseau de façon latérale. Leurs chances d'échapper aux premières détections augmentent ainsi, tandis qu'ils obtiennent un point d'accès sans effort ou presque.

Selon un rapport récent de Microsoft sur les renseignements de sécurité, plus de 45 % des logiciels malveillants exigent une certaine forme d'interaction de l'utilisateur, ce qui laisse entendre que le message électronique qui cible l'utilisateur, conçu pour le leurrer, est une tactique essentielle que les attaquants exploitent pour obtenir l'accès.

Certaines menaces visent à interrompre les activités d'une organisation et non pas à collecter silencieusement des informations en vue de gains financiers ou d'espionnage. L'approche la plus pratiquée est l'attaque par déni de service (DoS, Denial of Service). Ce type d'attaque submerge les ressources du réseau (par exemple les passerelles Web et de messagerie, les routeurs, les commutateurs, etc.), interdit l'accès aux utilisateurs et aux applications, puis finit par interrompre totalement le service ou par dégrader fortement sa qualité. L'attaque n'exige pas nécessairement de travail de piratage actif de la part de ses auteurs, mais dépend plutôt de leur capacité à multiplier le trafic vers l'organisation pour profiter d'une infrastructure mal configurée ou médiocrement protégée. Le plus souvent, cela signifie qu'ils utilisent un réseau de systèmes informatiques compromis qui collaborent pour submerger la cible, une attaque dite par déni de service distribué (DDoS, Distributed Denial of Service). Dans la plupart des cas, les pirates lancent des attaques DoS et DDoS en même temps que des attaques actives ou des envois d'e-mails malveillants pour détourner l'attention des équipes de sécurité et camoufler leur véritable intention.

Si la détection, le renforcement du périmètre et les correctifs se révèlent indispensables pour atténuer les menaces actives et passives qui visent les réseaux, les entreprises doivent commencer par se protéger contre les menaces qui visent la messagerie pour parvenir ensuite à atteindre le réseau.